Privacy Policy
Last updated:
This Privacy Policy describes how PT UNIT GLOBAL SYSTEM ("UnitPay", "we", "us", "our") collects, uses, discloses, and protects personal data. It applies to visitors of this website, prospective and active merchants, beneficial owners and directors named in merchant onboarding, end-customers whose payment data we process on behalf of merchants, and anyone who contacts us through the channels listed below. The policy is aligned with the Indonesian Personal Data Protection Law (Undang-Undang Pelindungan Data Pribadi, Law 27 of 2022, "UU PDP"), and the EU General Data Protection Regulation 2016/679 ("GDPR") where it applies extra-territorially. An Indonesia-specific notice is published separately at UU PDP Personal Data Notice and prevails for Indonesian data subjects in case of conflict.
1. Controller identity and contact
The data controller is PT UNIT GLOBAL SYSTEM, a limited liability company established under Indonesian law. Registered office: Menara Cakrawala 12th Floor Unit 05A, Jl. M.H. Thamrin, Kebon Sirih, Menteng, Central Jakarta, DKI Jakarta Province 10340, Republic of Indonesia. Tax identification (NPWP): 22.709.627.8-021.000. Business identification (NIB): 2511240128903, issued 25 November 2024.
General privacy enquiries may be addressed to legal@unitglobalsystem.com. Data subject requests (access, rectification, erasure, portability, objection, restriction) should be sent to our Data Protection Officer at dpo@unitglobalsystem.com with subject line "DSR request". Postal correspondence may be sent to the registered office above marked for the attention of the Data Protection Officer.
2. Categories of personal data we process
The categories of personal data we process depend on how you interact with us:
- Website visitors: IP address, device and browser identifiers, pages visited, referrer, language preference, and cookie identifiers as described in our Cookie Policy.
- Merchant onboarding: legal entity data (name, registration numbers, address), beneficial-owner identity data (full name, place and date of birth, nationality, KTP or passport number, photograph, biometric liveness template hashes), banking instrument numbers for settlement, business activity and KBLI codes, supporting corporate documents.
- End-customer payment processing: payment-instrument tokens, transaction amounts and timestamps, merchant identifiers, fraud-detection signals (device fingerprint, geolocation at coarse level), and the minimum customer identifiers the merchant supplies for fraud screening and dispute handling.
- Customer-support and complaint contacts: contact details you provide, the content of your enquiry, and our response, retained for the period set out in section 7.
- Compliance and audit: AML and sanctions screening outcomes, suspicious-transaction reports filed with PPATK, regulator correspondence, and access logs to systems containing the data above.
We do not knowingly collect personal data from children under 17. If you believe a child has provided personal data, please contact the Data Protection Officer for prompt erasure.
3. Sources of personal data
We obtain personal data directly from you when you visit the site, submit an onboarding application, contact support, or otherwise interact with us. We also receive personal data from third parties: from merchants in respect of their end-customers under a data processor relationship, from KYC and AML service providers (Didit for identity verification, the same vendor for sanctions and PEP screening), from card schemes and acquiring partners in the course of payment processing, and from public registries when we verify entity data submitted at onboarding.
4. Purposes and lawful bases of processing
Each category of processing rests on a documented lawful basis under UU PDP Article 20 and, where applicable, GDPR Article 6:
- Performance of a contract: provision of payment services to merchants, settlement of funds, customer-support response, and dispute handling. Lawful basis: contractual necessity (UU PDP Art 20(b); GDPR Art 6(1)(b)).
- Compliance with legal obligations: customer due diligence and ongoing monitoring under UU TPPU (Law 8 of 2010) and PPATK rules; complaint-handling under POJK 18/2018; tax record-keeping. Lawful basis: legal obligation (UU PDP Art 20(c); GDPR Art 6(1)(c)).
- Legitimate interests: fraud detection, transaction monitoring, network and information security, defence of legal claims, and operating the merchant cabinet. Lawful basis: legitimate interest (UU PDP Art 20(f); GDPR Art 6(1)(f)), subject to a balancing test that does not override your rights.
- Consent: optional cookies for analytics and any future marketing communications. Lawful basis: consent (UU PDP Art 20(a); GDPR Art 6(1)(a)). Consent is freely given, informed, specific, and revocable at any time without affecting the lawfulness of processing performed before revocation.
5. Recipients and disclosures
We disclose personal data to the following categories of recipients, each bound by contractual confidentiality and data-protection obligations aligned with UU PDP and, where applicable, GDPR Article 28:
- Our infrastructure provider Amazon Web Services (Asia Pacific - Jakarta), which hosts production workloads in the ap-southeast-3 (Jakarta) region under its published shared-responsibility model.
- Our KYC and AML screening vendor Didit for identity verification, sanctions, and PEP checks. Onward processing is restricted to the verification and screening purposes specified in our agreement.
- Acquiring banks, card schemes (Visa, Mastercard), and local payment-method operators (QRIS, virtual-account issuers) when those parties are necessary to route a transaction or resolve a dispute.
- Our consent management platform Iubenda for cookie-consent capture and audit trail.
- Professional advisers (legal, audit, tax) bound by confidentiality.
- Regulators and authorities (Bank Indonesia, OJK, PPATK, the Indonesian Personal Data Protection Authority, tax authority, courts, and law enforcement) where disclosure is required by law or compelled by valid legal process.
We do not sell personal data. We do not share personal data for the independent marketing purposes of third parties.
6. International transfers
Personal data of Indonesian data subjects is processed and stored within Indonesia (ap-southeast-3, Jakarta region) by default. Where cross-border transfer is necessary for the purposes described above (for example, where a vendor's incident-response team operates outside Indonesia), we apply UU PDP Article 56 safeguards: an adequacy determination, contractual protections including the European Commission Standard Contractual Clauses where the recipient jurisdiction lacks adequacy, and supplementary technical measures such as encryption in transit and at rest with keys held in our control. The current list of sub-processor jurisdictions is published alongside the UU PDP Personal Data Notice; we notify merchants of material sub-processor changes in advance through the merchant cabinet.
7. Retention
We retain personal data only for as long as needed for the purpose for which it was collected, and no longer than the maximum periods set by law:
- Merchant onboarding records, KYC artefacts, transaction records: at least 10 years after the end of the merchant relationship, in line with UU TPPU Article 24 and Bank Indonesia record-keeping rules.
- Customer-support correspondence: 24 months from last contact, unless retention is extended by an open complaint or legal claim.
- Audit logs and access logs: 7 years under the security framework described in our Security Policy.
- Website analytics: aggregated for up to 26 months; identifiers tied to a cookie are deleted on consent withdrawal or at session end where consent was never granted.
- Marketing contact lists: until consent is withdrawn, subject to a suppression list retained as long as needed to honour the withdrawal.
Where law allows shorter periods we shorten retention accordingly. Where law mandates longer (for example, in connection with ongoing legal proceedings or a regulator instruction), we extend retention for the minimum period necessary and document the lawful basis.
8. Your rights
Subject to applicable law you have the right to: be informed about how we process your personal data; access the personal data we hold about you; have inaccurate data rectified; have data erased where retention is no longer justified; restrict processing in defined circumstances; receive your data in a portable format and have it transmitted to another controller where technically feasible; object to processing carried out on the basis of legitimate interests; and withdraw consent at any time without affecting the lawfulness of prior processing.
To exercise any right, contact the Data Protection Officer at dpo@unitglobalsystem.com. We respond within the timeframes set by applicable law (30 days under GDPR Art 12, 3 x 24 hours acknowledgement under UU PDP). We may ask for proof of identity before disclosing personal data; this is to protect you, not to obstruct the request. If you are dissatisfied with our response, you may complain to the Indonesian Personal Data Protection Authority or, where GDPR applies, to your local supervisory authority. Financial-service complaints may also be escalated to OJK via the contact channels in our Dispute Resolution Policy.
9. Security
We protect personal data through the controls described in our Security Policy, including TLS-encrypted transport, encryption at rest with customer-managed keys in ap-southeast-3, least-privilege access with multi-factor authentication, comprehensive audit logging, and a 24x7 incident-response capability. Personal data breaches meeting the UU PDP Article 46 threshold are notified to the Personal Data Protection Authority and to affected data subjects within 3 x 24 hours of confirmed determination.
10. Changes to this policy and contact
We review this policy at least annually and on any material change to our processing. Material changes are flagged at the top of this page and, for merchants, communicated through the merchant cabinet. The "Effective date" below indicates the version currently in force; superseded versions are retained internally for audit.
For general privacy questions: legal@unitglobalsystem.com. For data subject rights and DPO contact: dpo@unitglobalsystem.com. For complaints under POJK 18/2018: complaints@unitglobalsystem.com. Our working hours are Mon-Fri 09:00-18:00 WIB.
Effective date: 06 May 2026
Kebijakan Privasi ini menjelaskan cara PT UNIT GLOBAL SYSTEM ("UnitPay", "kami") mengumpulkan, menggunakan, mengungkapkan, dan melindungi data pribadi. Kebijakan ini berlaku bagi pengunjung situs web ini, calon dan merchant aktif, pemilik manfaat dan direktur yang disebutkan dalam onboarding merchant, pelanggan akhir yang data pembayarannya kami proses atas nama merchant, serta siapa pun yang menghubungi kami melalui saluran yang tercantum di bawah. Kebijakan ini selaras dengan Undang-Undang Pelindungan Data Pribadi (UU 27 Tahun 2022, "UU PDP"), dan General Data Protection Regulation 2016/679 Uni Eropa ("GDPR") sepanjang berlaku secara ekstrateritorial. Pemberitahuan khusus Indonesia diterbitkan terpisah di Pemberitahuan Data Pribadi UU PDP dan didahulukan bagi subjek data Indonesia apabila terjadi konflik.
1. Identitas pengendali dan kontak
Pengendali data adalah PT UNIT GLOBAL SYSTEM, perseroan terbatas yang didirikan menurut hukum Indonesia. Kantor terdaftar: Menara Cakrawala Lt. 12 Unit 05A, Jl. M.H. Thamrin, Desa/Kelurahan Kebon Sirih, Kec. Menteng, Kota Adm. Jakarta Pusat, Provinsi DKI Jakarta 10340, Republik Indonesia. Nomor Pokok Wajib Pajak (NPWP): 22.709.627.8-021.000. Nomor Induk Berusaha (NIB): 2511240128903, diterbitkan 25 November 2024.
Pertanyaan umum mengenai privasi dapat dialamatkan ke legal@unitglobalsystem.com. Permintaan subjek data (akses, perbaikan, penghapusan, portabilitas, keberatan, pembatasan) harus dikirim ke Pejabat Pelindungan Data kami di dpo@unitglobalsystem.com dengan subjek "Permintaan DSR". Korespondensi tertulis dapat dikirim ke kantor terdaftar di atas ditujukan kepada Pejabat Pelindungan Data.
2. Kategori data pribadi yang kami proses
Kategori data pribadi yang kami proses bergantung pada cara Anda berinteraksi dengan kami:
- Pengunjung situs web: alamat IP, pengenal perangkat dan peramban, halaman yang dikunjungi, perujuk, preferensi bahasa, dan pengenal cookie sebagaimana dijelaskan dalam Kebijakan Cookie.
- Onboarding merchant: data badan hukum (nama, nomor registrasi, alamat), data identitas pemilik manfaat (nama lengkap, tempat dan tanggal lahir, kewarganegaraan, nomor KTP atau paspor, foto, hash template liveness biometrik), nomor instrumen perbankan untuk settlement, kegiatan usaha dan kode KBLI, dokumen korporat pendukung.
- Pemrosesan pembayaran pelanggan akhir: token instrumen pembayaran, jumlah dan timestamp transaksi, pengenal merchant, sinyal deteksi penipuan (sidik perangkat, geolokasi kasar), dan pengenal pelanggan minimum yang dipasok merchant untuk skrining penipuan dan penanganan sengketa.
- Kontak dukungan dan keluhan: detail kontak yang Anda berikan, isi pertanyaan Anda, dan tanggapan kami, disimpan untuk periode yang ditetapkan dalam bagian 7.
- Kepatuhan dan audit: hasil skrining AML dan sanksi, laporan transaksi mencurigakan yang disampaikan ke PPATK, korespondensi regulator, dan log akses ke sistem yang berisi data di atas.
Kami tidak dengan sengaja mengumpulkan data pribadi dari anak-anak di bawah 17 tahun. Apabila Anda meyakini seorang anak telah memberikan data pribadi, mohon hubungi Pejabat Pelindungan Data untuk penghapusan secepatnya.
3. Sumber data pribadi
Kami memperoleh data pribadi langsung dari Anda ketika Anda mengunjungi situs, mengirim aplikasi onboarding, menghubungi dukungan, atau berinteraksi dengan kami. Kami juga menerima data pribadi dari pihak ketiga: dari merchant terkait pelanggan akhir mereka dalam hubungan prosesor data, dari penyedia layanan KYC dan AML (Didit untuk verifikasi identitas, vendor yang sama untuk skrining sanksi dan PEP), dari skema kartu dan mitra acquiring dalam pemrosesan pembayaran, dan dari registri publik ketika kami memverifikasi data badan usaha yang disampaikan saat onboarding.
4. Tujuan dan dasar hukum pemrosesan
Setiap kategori pemrosesan didasarkan pada dasar hukum terdokumentasi menurut UU PDP Pasal 20 dan, sepanjang berlaku, GDPR Pasal 6:
- Pelaksanaan kontrak: penyediaan layanan pembayaran kepada merchant, settlement dana, tanggapan dukungan pelanggan, dan penanganan sengketa. Dasar hukum: keperluan kontraktual (UU PDP Ps 20(b); GDPR Ps 6(1)(b)).
- Kepatuhan terhadap kewajiban hukum: customer due diligence dan pemantauan berkelanjutan menurut UU TPPU (UU 8 Tahun 2010) dan aturan PPATK; penanganan keluhan menurut POJK 18/2018; pencatatan perpajakan. Dasar hukum: kewajiban hukum (UU PDP Ps 20(c); GDPR Ps 6(1)(c)).
- Kepentingan sah: deteksi penipuan, pemantauan transaksi, keamanan jaringan dan informasi, pembelaan klaim hukum, dan pengoperasian kabinet merchant. Dasar hukum: kepentingan sah (UU PDP Ps 20(f); GDPR Ps 6(1)(f)), tunduk pada uji penyeimbangan yang tidak menggantikan hak Anda.
- Persetujuan: cookie opsional untuk analitik dan komunikasi pemasaran apa pun di masa depan. Dasar hukum: persetujuan (UU PDP Ps 20(a); GDPR Ps 6(1)(a)). Persetujuan diberikan secara bebas, terinformasi, spesifik, dan dapat dicabut kapan saja tanpa memengaruhi keabsahan pemrosesan yang dilakukan sebelum pencabutan.
5. Penerima dan pengungkapan
Kami mengungkapkan data pribadi kepada kategori penerima berikut, masing-masing terikat kewajiban kerahasiaan kontraktual dan pelindungan data yang selaras dengan UU PDP dan, sepanjang berlaku, GDPR Pasal 28:
- Penyedia infrastruktur kami Amazon Web Services (Asia Pacific - Jakarta), yang meng-host beban kerja produksi di kawasan ap-southeast-3 (Jakarta) menurut model shared-responsibility yang dipublikasikannya.
- Vendor skrining KYC dan AML kami Didit untuk verifikasi identitas, sanksi, dan pemeriksaan PEP. Pemrosesan lanjutan dibatasi pada tujuan verifikasi dan skrining yang ditetapkan dalam perjanjian kami.
- Bank acquiring, skema kartu (Visa, Mastercard), dan operator metode pembayaran lokal (QRIS, penerbit virtual-account) ketika pihak-pihak tersebut diperlukan untuk merutekan transaksi atau menyelesaikan sengketa.
- Platform manajemen persetujuan kami Iubenda untuk penangkapan persetujuan cookie dan jejak audit.
- Penasihat profesional (hukum, audit, pajak) yang terikat kerahasiaan.
- Regulator dan otoritas (Bank Indonesia, OJK, PPATK, Otoritas Pelindungan Data Pribadi Indonesia, otoritas pajak, pengadilan, dan penegak hukum) apabila pengungkapan diwajibkan hukum atau diharuskan oleh proses hukum yang sah.
Kami tidak menjual data pribadi. Kami tidak membagikan data pribadi untuk tujuan pemasaran mandiri pihak ketiga.
6. Transfer lintas batas
Data pribadi subjek data Indonesia diproses dan disimpan di Indonesia (ap-southeast-3, kawasan Jakarta) secara default. Apabila transfer lintas batas diperlukan untuk tujuan yang dijelaskan di atas (misalnya, ketika tim respons insiden vendor beroperasi di luar Indonesia), kami menerapkan pelindungan UU PDP Pasal 56: penetapan kecukupan, pelindungan kontraktual termasuk Standard Contractual Clauses Komisi Eropa apabila yurisdiksi penerima kekurangan kecukupan, dan langkah teknis tambahan seperti enkripsi dalam transit dan saat istirahat dengan kunci yang kami kuasai. Daftar terkini yurisdiksi sub-prosesor diterbitkan bersama Pemberitahuan Data Pribadi UU PDP; kami memberi tahu merchant tentang perubahan sub-prosesor material di muka melalui kabinet merchant.
7. Retensi
Kami menyimpan data pribadi hanya selama diperlukan untuk tujuan pengumpulannya, dan tidak lebih lama dari periode maksimum yang ditetapkan hukum:
- Catatan onboarding merchant, artefak KYC, catatan transaksi: setidaknya 10 tahun setelah berakhirnya hubungan merchant, selaras dengan UU TPPU Pasal 24 dan aturan penyimpanan catatan Bank Indonesia.
- Korespondensi dukungan pelanggan: 24 bulan sejak kontak terakhir, kecuali retensi diperpanjang oleh keluhan terbuka atau klaim hukum.
- Log audit dan log akses: 7 tahun berdasarkan kerangka keamanan yang dijelaskan dalam Kebijakan Keamanan kami.
- Analitik situs web: agregat hingga 26 bulan; pengenal yang terkait dengan cookie dihapus saat penarikan persetujuan atau di akhir sesi apabila persetujuan tidak pernah diberikan.
- Daftar kontak pemasaran: hingga persetujuan dicabut, dengan daftar suppression yang dipertahankan selama diperlukan untuk menghormati pencabutan.
Apabila hukum memungkinkan periode lebih singkat, kami memperpendek retensi sesuai. Apabila hukum mewajibkan lebih lama (misalnya, sehubungan dengan proses hukum yang sedang berjalan atau instruksi regulator), kami memperpanjang retensi untuk periode minimum yang diperlukan dan mendokumentasikan dasar hukumnya.
8. Hak Anda
Tunduk pada hukum yang berlaku, Anda memiliki hak untuk: diberi tahu tentang cara kami memproses data pribadi Anda; mengakses data pribadi yang kami simpan tentang Anda; memperbaiki data yang tidak akurat; menghapus data apabila penyimpanan tidak lagi dibenarkan; membatasi pemrosesan dalam keadaan tertentu; menerima data Anda dalam format portabel dan mentransmisikannya ke pengendali lain apabila secara teknis layak; berkeberatan terhadap pemrosesan yang dilakukan atas dasar kepentingan sah; dan mencabut persetujuan kapan saja tanpa memengaruhi keabsahan pemrosesan sebelumnya.
Untuk menggunakan hak apa pun, hubungi Pejabat Pelindungan Data di dpo@unitglobalsystem.com. Kami merespons dalam jangka waktu yang ditetapkan hukum yang berlaku (30 hari menurut GDPR Ps 12, akui dalam 3 x 24 jam menurut UU PDP). Kami mungkin meminta bukti identitas sebelum mengungkapkan data pribadi; ini untuk melindungi Anda, bukan untuk menghalangi permintaan. Apabila Anda tidak puas dengan tanggapan kami, Anda dapat mengajukan keluhan kepada Otoritas Pelindungan Data Pribadi Indonesia atau, apabila GDPR berlaku, kepada otoritas pengawas lokal Anda. Keluhan terkait jasa keuangan juga dapat dieskalasi ke OJK melalui saluran kontak dalam Kebijakan Resolusi Sengketa kami.
9. Keamanan
Kami melindungi data pribadi melalui kontrol yang dijelaskan dalam Kebijakan Keamanan kami, termasuk transportasi terenkripsi TLS, enkripsi saat istirahat dengan kunci yang dikelola pelanggan di ap-southeast-3, akses least-privilege dengan otentikasi multi-faktor, log audit menyeluruh, dan kapabilitas respons insiden 24x7. Pelanggaran data pribadi yang memenuhi ambang batas UU PDP Pasal 46 diberitahukan kepada Otoritas Pelindungan Data Pribadi dan kepada subjek data yang terdampak dalam waktu 3 x 24 jam sejak penentuan konfirmasi.
10. Perubahan kebijakan dan kontak
Kami meninjau kebijakan ini setidaknya tahunan dan pada setiap perubahan material terhadap pemrosesan kami. Perubahan material ditandai di bagian atas halaman ini dan, untuk merchant, dikomunikasikan melalui kabinet merchant. "Tanggal efektif" di bawah menunjukkan versi yang saat ini berlaku; versi yang digantikan disimpan secara internal untuk audit.
Untuk pertanyaan umum tentang privasi: legal@unitglobalsystem.com. Untuk hak subjek data dan kontak DPO: dpo@unitglobalsystem.com. Untuk keluhan menurut POJK 18/2018: complaints@unitglobalsystem.com. Jam kerja kami adalah Sen-Jum 09.00-18.00 WIB.
Tanggal efektif: 06 May 2026